Este documento apresenta o conceito e desenho de um programa integrado de segurança da informação para sistemas de automação da Vale. Inicialmente, descreve o cenário atual de ameaças e riscos à segurança destes sistemas. Em seguida, detalha a avaliação de riscos realizada e o planejamento de ações de segurança para cada área operacional priorizada. Por fim, estabelece um programa completo de segurança cibernética para os sistemas de automação da empresa baseado em padrões internacionais.
1. CONCEPÇÃO E DESENHO
DE PROGRAMA INTEGRADO
DE SEGURANÇA DA
INFORMAÇÃO PARA
AUTOMAÇÃO
Cesar Oliveira, CISM
Rio de Janeiro, 7 de Novembro de 2014 Informação Pública
3. Informação Pública
Somos a Vale
• Mineradora global com sede no Brasil
• Líder mundial na produção de minério
de ferro e pelotas e o segundo maior
produtor de níquel
• Também produzimos cobre, carvão
metalúrgico, fertilizantes, manganês,
ferroligas, cobalto e metais do grupo
da platina
• Investimos em logística e energia
Empregados da Vale em Itabira / MG
Renato Stockler das Neves Filho / Agência Vale
4. 2013
Com sede no Rio de Janeiro, nossas operações, laboratórios de pesquisa, projetos e
escritórios estão presentes nos cinco continentes.
Informação Pública
5. Missão
Transformar recursos naturais em
prosperidade e desenvolvimento
sustentável
Visão
Ser a empresa de recursos naturais
global número um em criação de valor
de longo prazo, com excelência, paixão
pelas pessoas e pelo planeta
Valores
A vida em primeiro lugar
Valorizar quem faz a nossa empresa
Cuidar do nosso planeta
Agir de forma correta
Crescer e evoluir juntos
Fazer acontecer
Informação Pública
Complexo Portuário Sul – CPBS / RJ
Márcio Dantas Valença / Agência Vale
6. Informação Pública
195 mil
Empregados e prestadores de serviço
50 mil
Usuários de TI
Faturamento Líquido em
2013
46 bilhões de dólares
7. O CENÁRIO ATUAL DE
AMEAÇAS E SEGURANÇA DOS
SISTEMAS DE AUTOMAÇÃO
INDUSTRIAL
Informação Pública
8. Cenário de ameaças em Sistemas de Automação
Industrial
Informação Pública
7
10. Segurança para Sistemas de Automação Industrial –
Verdadeiro ou Falso?
( ) Cuidar apenas de segurança física e ataques externos é suficiente;
( ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está
disponível para qualquer usuário;
( ) Os Sistemas de Automação Industrial são complexos e o conhecimento é
restrito;
( ) Os Sistemas de Automação Industrial não são vulneráveis;
( ) Malwares não podem infectar os Sistemas de Automação;
( ) Não existe tecnologia disponível para combater ameaças específicas para os
ambientes de Automação;
( ) A solução é isolar totalmente a Rede de Automação.
Informação Pública
11. Segurança para Sistemas de Automação Industrial –
Verdadeiro ou Falso?
( F ) Cuidar apenas de segurança física e ataques externos é suficiente;
( F ) A tecnologia utilizada em ambientes de Automação Industrial é cara e não está
disponível para qualquer usuário;
( F ) Os Sistemas de Automação Industrial são complexos e o conhecimento é
restrito;
( F ) Os Sistemas de Automação Industrial não são vulneráveis;
( F ) Malwares não podem infectar os Sistemas de Automação;
( F ) Não existe tecnologia disponível para combater ameaças específicas para os
ambientes de Automação;
( F ) A solução é isolar totalmente a Rede de Automação.
Informação Pública
12. Sofisticação de ataque vs. Conhecimento técnico
necessário
Informação Pública
denial of service
Zombies
Auto
Coordinated
Botnet
Staged
automated probes/scans
Intruders
High
Low
packet spoofing
sniffers
sweepers
back doors
disabling audits
exploiting known vulnerabilities
password cracking
self-replicating code
1980 1985 1990 1995 2000
Intruder
Knowledge
Attack
Sophistication
Cross site scripting
password guessing
hijacking
sessions
GUI
www attacks
Tools
“stealth” /
advanced scanning
techniques
burglaries
network mgmt. diagnostics
distributed
attack tools
2005 2013
Hactivism
13. Ciclo de exploração de vulnerabilidades – tendência de
aceleração para Sistemas de Ambientes Industriais
Novice Intruders
Advanced
Intruders
Discover New
Vulnerability
Informação Pública
Use Crude
Exploit Tools
Crude
Exploit Tools
Distributed
Automated
Scanning/Exploit
Tools Developed
Widespread Use
of Automated
Scanning/Exploit
Tools
Intruders Begin
Using New Types
of Exploits
15. Avaliação de Riscos e Planejamento de Ações de
Segurança
Objetivos
Informação Pública
- Revisão de padrões e boas práticas existentes e comparar com as melhores práticas de mercado;
- DefPlanejamento de Ações para cada Área Operacional priorizada por probabilidade e severidade
- Criação de um Business Case para o estabelecimento de um Programa Integrado de Cyber Security.
- inir padrões, boas práticas e controles de segurança a serem aplicados aos Sistemas de Automação nas
Áreas Operacionais
- Definir um
Benefícios
- Dar visibilidade sobre os riscos de segurança da informação existentes nos ambientes de Sistemas de
Automação e promover a discussão sobre o tratamento adequado aos riscos considerando as variáveis
levantadas e o negócio enolvido, além de promover o estabelecimento de um Programa Completo de Gestão
de Segurança em SIStemas de Automação Industrial.
Entregáveis
- Levantamento de ameaças e riscos potenciais à Segurança dos Sistemas de Automação;
- Resultado da Análise de Riscos
- Resultado da avaliação dos Controles de Segurança existentes
- Plano de Ações para cada Área Operacional priorizada por nível de risco (probabilidade e severidade)
Participantes
- Áreas Operacionais
- Tecnologia de Automação da TI
- Information Security Office
- Global IT Security Services
- Comitê de Segurança da Informação
- Comitê de Liderança de Manutenção
16. Avaliação de Riscos e Planejamento de Ações de
Segurança
Análise de Risco
Informação Pública
Análise dos
Controles de
Segurança
Nomes com
Controles
mínimos
Realização
de
Treinamento
Roadmap de
Implantação
- Revisão de padrões e boas práticas existentes como insumos para determinar os
controles mínimos necessários para serem aplicados em todas as Áreas Operacionais;
- Utilização de ferramenta CSET (Cyber Security Evaluation Tool), desenvolvida pelo
Governo Americano (US-Department of Homeland Security) e tendo como padrão a
norma NIST SP 800.82 “Guide to Industrial Control Systems (ICS) Security”;
- Questionário com 172 questões divididas em categorias
http://ics-cert.us-cert.gov/Assessments
17. Avaliação de Riscos e Planejamento de Ações de
Segurança
Padrões específicos existentes que podem ser usados como base da
ferramenta CSET
Informação Pública
ISA-SP99 ISA-SP100 NIST SP 800
API
• Security Guidelines for the Petroleum Industry
NISCC/CNPI
• Process Control and SCADA Security Guides
ISA 100/11ª
• Wireless Systems
for Industrial
Automation
(cap 8)
US-CERT
• ANSI/ISA TR96.01.02-2007 – Security
Technologies for industrial automation and
control systems.
• ANSI/ISA-99.01.01-2007 – Termiinology
concepts and models
• ANSI/ISA-99.02.01-2009 – Estabilshing na
industrial Automation and Control
Systems Security Program.
• ISA-99.02.02 (em desenvolvimento) –
Operating and Industrial Automation and
Control Systems Security Program
• ISA-99.03.02 (em desenvolvimento) –
Target Security Levels.
• ISA-99.03.03 – System Security
compliance Metrics (em
desenvolvimento).
• ISA-99.01.03 (em desenvolvimento) –
System Security Requirements and
Security Assurance Levels.
• ISA-TR99.02.03 (em desenvolvimento) –
Patch Management .
• ISA 99.04 Series (em desenvolvimento) –
Derived Requirements.
IEC 62443
SP800-82
• Guide to industrial Control Systems (ICS)
Security
• Catalog of (control
System Security .
Recomendations for
Standards Developers.
• Creating Cyber
Forensics Plans for
Control System.
• Cyber Security
Response to physical
Security Breaches.
• Control Systems Cyber
Security Defense in
Depth Strategies
• CPI-002 Critical Cyber Asset Idetification
• CIP-003 Security Management Controls
• CIP-004 Personnel & Training
• CIP-005 Electronic Security Perimeter(s)
• CIP-006 Physical Security of Critical Cyber
Assets
• CIP-007 Systems Security Management
• CIP-008 Incident Reporting and Response
Pianning
• CIP-009 Recovery Plans for Critical Cyber
Assets
NERC CIP
18. Avaliação de Riscos
- Envolver todos os Stakeholders para criar consenso quanto às definições de
probabilidade e severidade das ameaças é fator crítico de sucesso;
- Treinamentos de conscientização e reuniões de análise de riscos e definição
de ameaças existentes e potenciais em cada Área Operacional.
Informação Pública
20. Planejamento de Ações de Segurança
- Envolver todos os Stakeholders para criar consenso quanto às Planejamento de Ações
de Segurança para cada Área é essencial;
- Priorização de implementação de controles seguindo os seguintes critérios:
• Controles que mitigam mais riscos e com maior efetividade;
• Ações com menor custo inicial ou maior Taxa Interna de Retorno (TIR);
• Ações com menor duração tendem a ser priorizadas;
• Menor dependência de envolvimento de outras áreas internas da organização.
Informação Pública
21. Estabelecendo um Programa Completo
Como resultado do trabalho, foi criado um Business Case para a implantação do
Programa de Cyber Security para Sistemas de Automação Industrial na Vale, baseado na
ISA-99.02.01, seguindo suas recomendações que na prática são:
• Utilização dos mesmos critérios para avaliação de riscos da norma corporativa de análise de riscos
operacionais;
• Integração entre as análises de riscos de segurança da informação e de HSE (Health, Safety and Environment)
• Autoridade central que fomente e dissemine as boas práticas em segurança da informação e que faça a
integração entre as áreas operacionais;
• Estimativa de perda financeira anual (danos à imagem da organização, lucros cessantes, ...);
• Avaliação de conformidade aos controles existentes à norma NIST SP800-82. Os desvios servem como
mecanismo de sensibilização para o investimento no Programa Integrado e Completo.
• Transparência nos riscos e fatores críticos de sucesso gera confiança com as principais partes interessadas.
Informação Pública
22. Estabelecendo um Programa Completo
Para o estabelecimento do Programa Cyber Security e a implantação do SGSI (Sistema
Gerenciado de Segurança da Informação) para os Sistemas de Automação, recomenda-se
fortemente a adoção de uma estratégia uniforme entre as Áreas Operacionais no
monitoramento de maneira a assegurar a evolução homogênea.
Além disto, a observação constante dos fatores organizacionais são determinantes para
esta evolução.
Informação Pública
Conscientização
Capacitação
Contratação
Políticas
Normas e Instruções de Trabalho
Planos de Continuidade
Planos de Resposta a Incidentes
Firewall
VPN
Segregação de Redes
Sistemas de Controle de Acesso Físico
Sistemas de Controle de Versão
23. Informação Pública
Fatores críticos de sucesso
Complexo Portuário Sul – CPBS / RJ
Márcio Dantas Valença / Agência Vale
24. Fatores críticos de sucesso
Equilíbrio entre o CUSTO e RISCO
Informação Pública
Custo Risco
Segurança Ideal
Custo de evitar o risco vs Custo de um incidente
25. A evolução da Tecnologia traz melhorias e Segurança é
cada vez mais fator crítico nos negócios
Informação Pública
• Aplicativo GetAround
de aluguel de carros
no sistema “rent your
car”;
• Inovação e risco: a
chave do carro é um
sinal emitido pelo seu
smartphone;
• Segurança é fator
crítico de sucesso.
26. A Tecnologia a favor dos negócios... com Segurança
Informação Pública
28. Ressalva
Esta apresentação pode incluir declarações que apresentem expectativas da Vale sobre
eventos ou resultados futuros. Todas as declarações quando baseadas em expectativas
futuras, e não em fatos históricos, envolvem vários riscos e incertezas. A Vale não pode
garantir que tais declarações venham a ser corretas. Tais riscos e incertezas incluem
fatores relacionados a: (a) países onde temos operações, principalmente Brasil e Canadá,
(b) economia global, (c) mercado de capitais, (d) negócio de minérios e metais e sua
dependência à produção industrial global, que é cíclica por natureza, e (e) elevado grau de
competição global nos mercados onde a Vale opera. Para obter informações adicionais
sobre fatores que possam originar resultados diferentes daqueles estimados pela Vale,
favor consultar os relatórios arquivados na Comissão de Valores Mobiliários – CVM, na
Autorité des Marchés Financiers (AMF), na U.S. Securities and Exchange Commission –
SEC e no The Stock Exchange of Hong Kong Limited, e em particular os fatores discutidos
nas seções “Estimativas e projeções” e “Fatores de risco” no Relatório Anual - Form 20F
da Vale.”.
Esta apresentação não pode ser distribuída sem a autorização da Vale.
Informação Pública